Talvez isso aqui já seja conhecido, mas vamos lá.
Honeypot (em português: Pote de Mel) é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. O Honeypot, não oferece nenhum tipo de proteção adicional.
Quanto à sua interação com o invasor, podem ser classificados em:
- Baixa interatividade: serviços falsos - Listener TCP/UDP - Respostas falsas.
- Média interatividade: ambiente falso - Cria uma ilusão de domínio da máquina.
- Alta Interatividade: S.O. com serviços comprometidos - Não perceptível ao atacante.
Quanto ao seu propósito, podem ser classificados em:
- Honeypots de pesquisa: propósito de acumular o máximo de informações dos invasores e suas ferramentas - grau alto de comprometimento - redes externas ou sem ligação com rede principal.
- Honeypots de produção: diminuir risco - elemento de distração ou dispersão...
Adaptado de:
Honeypot – Wikipédia, a enciclopédia livre
Os honeypots de baixa interatividade (por exemplo, o Honeyd) são utilizados geralmente para implementar o conceito de segurança por obscuridade, simulando diversas máquinas e serviços não existentes e logando o acesso a eles, com o propósito de esconder os serviços reais existentes. É usado para confundir o atacante com fingerprints falsos.
Já os honeypots de média ou alta interatividade, são utilizados para pesquisa, permitindo interação do atacante com serviços falsos (média interatividade) ou serviços reais porém encapsulados (alta interatividade).
Seu propósito é a coleta de dados, podendo, inclusive, salvar os arquivos baixados pelo atacante para análise de malware.
O honeypot Kippo
O Kippo é um honeypot de média interatividade que simula um serviço SSH inseguro. Foi desenvolvido para logar ataques de força bruta, script kiddies e, mais importante, logar toda a interação do atacante com o shell falso oferecido pelo Kippo.
Algumas características interessantes:
- Sistema de arquivos falso emulado, com possibilidade de criar e apagar arquivos. Um filesystem completo simulando o Debian é incluso na instalação.
- Possibilidade de adicionar conteúdo falso de arquivos para que o atacante possa dar um cat, como o "/etc/passwd".
- Salva os arquivos baixados pelo atacante com Wget para inspeção posterior.
- Session logs são salvos em formato UML, possibilitando replay com o timing original.
Por essas características, é necessário dizer que não é recomendado utilizar o
Kippo em servidores reais. Recomenda-se a instalação do Kippo em uma máquina virtual, rodando em um computador sem dados sensíveis para perda.
Seu sistema, literalmente, se tornará uma isca para crackers. A responsabilidade é somente sua. Utilize um bom firewall e
chroot, se possível.